March 3, 2026

Link Aggregation Design: Best Practices für Access–Distribution

Ein sauberes Link-Aggregation-Design (EtherChannel/LACP) zwischen Access- und Distribution-Switches ist einer der größten Stabilitätsgewinne im Campus: Es reduziert STP-Blockierungen, nutzt Bandbreite aktiv, erhöht Redundanz und macht Failover planbarer. Gleichzeitig ist Link Aggregation nur dann „langweilig und stabil“, wenn du konsequent Standards einhältst: identische Member-Konfiguration, klare Trunk-Whitelists, definierte Native VLAN, saubere Root-Planung und robuste Physik (Kabel/SFP). Dieser Blueprint zeigt Best Practices für Access–Distribution Uplinks in Cisco-Umgebungen.

Design-Ziele: Was ein guter Access–Distribution Uplink leisten muss

Uplinks sind kritisch. Ein gutes Design verhindert Loops, minimiert Konvergenz-Zeiten und vermeidet „Sonderkonfigurationen“, die später schwer zu betreiben sind.

  • Redundanz ohne STP-Flapping (Port-Channel statt paralleler Einzeltrunks)
  • Maximale nutzbare Bandbreite (aktive Links, Hashing)
  • Saubere Segmentierung (Allowed VLANs als Whitelist)
  • Vorhersehbares Failover (Member-Ausfall statt Link-Ausfall)

Grundentscheidung: LACP als Standard (nicht statisch, nicht PAgP)

Für moderne Enterprise-Netze ist LACP der Standard: herstellerübergreifend, robust und mit klarer Aushandlung. Verwende active auf Uplinks, damit der Channel zuverlässig aufgebaut wird.

  • LACP active/active als sicherer Default
  • Kein Mix von LACP/PAgP zwischen Enden
  • Statische „on“-Channels nur in Ausnahmefällen

Verifikation LACP

show etherchannel summary
show lacp neighbor

Topologie-Blueprint: Single-Distribution vs. Dual-Distribution

Das richtige Aggregation-Design hängt davon ab, ob Access an einen oder an zwei Distribution-Switches angebunden ist. Wichtig ist: Ein Port-Channel kann nur über mehrere Geräte gehen, wenn die Distribution eine gemeinsame Control-Plane hat (Stack/VSS/vPC-ähnlich, plattformabhängig).

  • Access → ein Distribution-Switch: klassischer LACP-Port-Channel (einfach)
  • Access → zwei Distribution-Switches: nur als Multi-Chassis EtherChannel möglich, wenn Distribution logisch „ein Gerät“ ist
  • Ohne Multi-Chassis: zwei getrennte Uplinks/Port-Channels, STP entscheidet aktiv/standby oder per VLAN/Instance Lastverteilung

Praxis-Regel

Wenn du keine gemeinsame Control-Plane im Distribution-Paar hast, baue keine Cross-Device Port-Channels „auf gut Glück“. Das endet häufig in Loops oder instabilen Bundles.

Standard-Template: Access–Distribution Port-Channel als Trunk

Für Campus-Uplinks ist Trunking üblich. Setze Trunks statisch, whitelist VLANs und nutze eine ungenutzte Native VLAN. Konfiguriere Member-Ports per Range und den Port-Channel separat.

Access-Switch (Beispiel Po1 mit Gi1/0/47-48)

enable
configure terminal

vlan 999

name NATIVE-UNUSED

exit


interface range gigabitEthernet 1/0/47 - 48

description UPLINK-LACP-TO-DIST-01 Po1

switchport mode trunk

switchport trunk allowed vlan 10,20,30,40,80,99

switchport trunk native vlan 999

channel-group 1 mode active

exit


interface port-channel 1

description UPLINK-LACP-TO-DIST-01

switchport mode trunk

switchport trunk allowed vlan 10,20,30,40,80,99

switchport trunk native vlan 999

end

Distribution-Switch (Gegenstelle spiegeln)

configure terminal

vlan 999

name NATIVE-UNUSED

exit


interface range gigabitEthernet 1/0/1 - 2

description DOWNLINK-LACP-TO-ACCESS-01 Po1

switchport mode trunk

switchport trunk allowed vlan 10,20,30,40,80,99

switchport trunk native vlan 999

channel-group 1 mode active

exit


interface port-channel 1

description DOWNLINK-LACP-TO-ACCESS-01

switchport mode trunk

switchport trunk allowed vlan 10,20,30,40,80,99

switchport trunk native vlan 999

end

VLAN-Policy auf Uplinks: Allowed VLANs rollenbasiert reduzieren

Ein häufiger Designfehler ist „alles über jeden Trunk“. Whiteliste nur VLANs, die dieser Access-Bereich wirklich benötigt. Das reduziert Broadcast-Domänen, Fehlerausbreitung und Audit-Aufwand.

  • Access-Edge ohne OT: VLAN 70 nicht transportieren
  • Guest nur dort, wo WLAN-Gast existiert
  • MGMT (z. B. 99) gezielt, aber konsistent transportieren

Allowed VLANs pflegen (kontrolliert)

configure terminal
interface port-channel 1
 switchport trunk allowed vlan 10,20,30,99
end

STP-Design: EtherChannel nutzen, STP stabil halten

EtherChannel reduziert STP-Blockierungen, ersetzt STP aber nicht. Plane Root Bridges im Distribution/Core, härte Edge-Ports und setze Guards, damit Uplinks ruhig bleiben.

  • Root Primary/Secondary im Distribution/Core definieren
  • PortFast + BPDU Guard auf Endgeräte-Ports
  • Root Guard auf Downlinks Richtung Access (auf Distribution-Seite)
  • Loop Guard und UDLD für kritische Uplinks (v. a. Fiber)

STP-Checks für Port-Channels

show spanning-tree root
show spanning-tree summary
show spanning-tree interface port-channel 1 detail
show spanning-tree inconsistentports

Physik und Verkabelung: Redundanz beginnt beim Kabel

Link Aggregation ist nur so stabil wie die physische Qualität. Nutze identische Link-Typen, saubere Patchwege und tausche fehlerhafte SFPs konsequent aus. Ein Member mit CRC/Flaps erzeugt „Port-Channel Flattern“.

Health Checks für Member

show interfaces status
show interfaces counters errors
show interfaces gigabitEthernet 1/0/47
show interfaces gigabitEthernet 1/0/48
show logging | include LINK|LINEPROTO|CRC|ERROR

Load-Balancing planen: Hashing passend zur Traffic-Struktur

Wenn ein Member überlastet, ist oft nicht der Port-Channel „kaputt“, sondern das Hashing sieht zu wenig Varianz (wenige große Flows). Plane den Algorithmus passend zu deinem Traffic (MAC vs. IP vs. L4).

Hash-Status prüfen und Optionen anzeigen

show etherchannel load-balance
configure terminal
port-channel load-balance ?
end

Typische Empfehlung für gerouteten Campus-Traffic

configure terminal
port-channel load-balance src-dst-ip
end

Dual-Distribution ohne Multi-Chassis: Saubere Alternativen

Wenn Access zu zwei Distribution-Switches redundant angebunden sein soll, aber kein Multi-Chassis EtherChannel verfügbar ist, hast du zwei saubere Optionen: zwei getrennte Port-Channels (je Dist) und STP als Pfad-Entscheider, oder VLAN/Instance-basierte Lastverteilung (PVST/MST).

  • Option A: Po1 zu Dist-A, Po2 zu Dist-B, STP blockt einen Pfad pro VLAN/Instance
  • Option B: Root-Verteilung pro VLAN/Instance, um beide Pfade zu nutzen
  • Wichtig: klare Root-Planung und konsequente Trunk-Whitelists

Verifikation bei zwei Uplinks ohne MEC

show spanning-tree root
show spanning-tree vlan 10
show interfaces trunk

Operations-Standards: Change- und Troubleshooting-Playbook

Der größte Erfolgsfaktor ist Betriebsdisziplin: Port-Channels standardisieren, Änderungen dokumentieren und immer mit denselben Checks verifizieren. So werden Uplink-Probleme reproduzierbar lösbar.

  • Konfig per Interface Range (Member identisch)
  • Port-Channel Interface separat konfigurieren
  • Pre-/Post-Checks bei jedem Change
  • Logs und Counters bei Flaps/Errors prüfen, nicht „blind reloaden“

Pre-/Post-Check Spickzettel

show etherchannel summary
show lacp neighbor
show interfaces port-channel 1
show interfaces trunk
show spanning-tree interface port-channel 1 detail
show interfaces counters errors
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer